Aż dziewięćdziesiąt dziewięć procent przestępstw to efekt ludzkich błędów! O tym, jak bronić się przed cyberprzestępczością opowiadają Izabela i Paweł Burzyńscy, właściciele firmy SZTORM IT.
Jakie są zagrożenia w cyberprzestrzeni i co stanowi główny cel cyberataków?
Paweł Burzyński: Można je sklasyfikować jako zagrożenia ludzkie, sprzętowe i oprogramowania. Cyberprzestępcy przez cały czas dążą do nakłonienia użytkowników do łamania procedur lub niestosowania się do przyjętych praktyk. Równie często korzystają z błędów popełnianych przez pracowników na każdym szczeblu, od specjalistów po kierownictwo. Niestety, większość małych i średnich firm i organizacji, prywatnych i publicznych, nie bada swojej podatności na takie zagrożenia, czyli nie poddają się audytom i testom, choć zgodnie z obowiązującymi przepisami prawa, wszystkie podmioty publiczne powinny robić to co rok. Szacuje się, że tylko dziesięć procent z nich przeprowadza je regularnie! A przecież bez audytu pracownicy nie będą wiedzieć, jak reagować, czy sprzęt jest poprawnie skonfigurowany, a oprogramowanie odpowiednio zabezpieczone i nie ma luk, dzięki którym hakerzy łatwo dostaną się do systemu. Audyt pokaże też, czy konieczne jest skanowanie sieci zewnętrznej i wewnętrznej w zakresie znanych błędów, które powinniśmy załatać.
Jak często dochodzi do różnego rodzaju ataków?
Paweł Burzyński: Średnio na całym świecie co trzydzieści dziewięć sekund dochodzi do cyberataków, a hakerzy uderzają w pojedynczy podmiot, firmę czy instytucję ponad tysiąc sześćset razy tygodniowo. Prawdziwą gratką jest dla nich czas przedświąteczny. Hakują wtedy sklepy, konta w social mediach i podszywając się pod autentyczne podmioty, dokonują fikcyjnych sprzedaży. Kupujący podekscytowani świąteczną promocją łatwo dają się złapać w sidła oszustów. I zamiast cieszyć się prezentami, zostają z długami. Według aktualnego raportu CERT Polska w 2022 roku o trzydzieści cztery procent wzrosła liczba zarejestrowanych incydentów cyberataków w porównaniu rok do roku, a liczba wszystkich zgłoszeń poszła w górę o blisko sto siedemdziesiąt osiem procent. Warto dodać, że tylko pięć procent plików jest w firmach prawidłowo chronione, a dziewięćdziesiąt dziewięć procent włamań do infrastruktury firmy to ludzkie błędy.
Czy w ogóle zdajemy sobie sprawę z tego, w jaki sposób można wyciągnąć od nas różne dane?
Paweł Burzyński: Przeprowadzane audyty i szkolenia pokazują, że nasza świadomość tego, do jakich kroków są zdolni cyberprzestępcy, jest naprawdę nikła. To wynik braku czasu na szkolenia i przekonanie, że branża, w której działamy, jest zupełnie niepodatna na cyberataki, że skoro wydajemy określoną pulę środków na sieciowe zabezpieczenia, to nic już nam nie grozi. To błędne myślenie, bo cyberprzestępcy bez przerwy pracują nad udoskonaleniem swoich technik i atakują z każdej strony.
Poproszę o kilka przykładów?
Izabela Burzyńska: Choćby e-mail niby od urzędu skarbowego z plikiem Excela zawierającym wykaz faktur, od których nie odprowadziliśmy podatku. Kto z nas nie kliknie w dane przesłane z urzędu skarbowego? Jeden ruch myszką i złośliwe oprogramowanie pochłania wszystkie nasze dane. Przeprowadzone przez nas testy socjotechniczne wykazały bardzo duże braki wiedzy wśród pracowników instytucji sektora publicznego. Dziewięćdziesiąt dziewięć procent z nich uznało, że skoro przedstawiamy się jako audytorzy z imienia i nazwiska, nie trzeba już w żaden sposób zweryfikować, czy w ogóle mamy prawo dostępu do komputera. Oznacza, to, że każdy, kto przedstawi się jako audytor, uzyskałby dane tego podmiotu lub mógłby zainstalować złośliwe oprogramowanie.
Przeprowadzacie Państwo audyty w zakresie cyberbezpieczeństwa, jak one wypadają?
Izabela Burzyńska: Piszę o tym w pracy magisterskiej „Audyt bezpieczeństwa informatycznego jako kluczowe narzędzie w cyberbezpieczeństwie instytucji”, którą obroniłam w lipcu. Opierając się na przeprowadzonych przez naszą firmę audytach, wskazuję w niej, że jest wiele obszarów do naprawy zarówno w jednostkach budżetowych, jak i prywatnych. Dzięki temu potwierdziłam moją hipotezę badawczą, że poziom i jakość infrastruktury oraz bezpieczeństwo informatyczne w przedsiębiorstwach, jednostkach budżetowych bez wykonywanych cyklicznie audytów będzie bardzo niski i bez odpowiednich działań pozostanie bez zmian. Proszę sobie wyobrazić, że na ponad sto audytów wykorzystanych w badaniu, w aż sześćdziesięciu trzech procentach wykazano błędy o charakterze średnim, ponad trzydzieści dwa procent z poziomem krytycznym, a jedynie cztery procent stanowiły błędy niskie.
Jakie to były błędy?
Izabela Burzyńska: W jednej z badanych instytucji publicznych serwerownia nie miała drzwi ani monitoringu wewnętrznego, na dodatek znajdowała się obok toalety dla petentów. W innym przypadku klimatyzator w serwerowni znajdował się tuż nad gniazdkiem z prądem, do którego podpięte były serwery. Z klimatyzatora może kapać woda i w takim przypadku o przepięcia nietrudno, utracone zostaną nie tylko dane osobowe, ale narażone będzie też ludzkie życie. Bywa, że oprogramowanie antywirusowe nie jest zainstalowane na wszystkich urządzeniach albo jest jedno hasło i login dla kilku administratorów systemu w instytucji. Jak potem udowodnimy, który informatyk popełnił błąd, skoro wszyscy mają te same kody dostępu?
W jaki sposób przedsiębiorcy mogą się zabezpieczyć przed cyberatakami?
Paweł Burzyński: Jest wiele urządzeń i programów, które zwiększą bezpieczeństwo przedsiębiorstwa, ale to człowiek jest najsłabszym ogniwem. Pamiętajmy zatem o kilku podstawowych kwestiach: aktualizacji urządzeń i systemów, ochronie haseł, używaniu programów antywirusowych i firewalle, również na styku sieci z internetem UTM, trzymaniu kopii wszystkich danych w przynajmniej dwóch niezależnych miejscach. Poza odpowiednio wyposażoną infrastrukturą IT i audytami bezpieczeństwa informatycznego równie istotny jest cykl szkoleń informatyków i pracowników. Dopiero to wszystko razem pozwoli na zapewnienie wysokiego standardu bezpieczeństwa.
Czy Państwa firma oprócz audytów może także zapewnić firmom bezpieczeństwo pod kątem IT?
Paweł Burzyński: Dzięki wyspecjalizowaniu się w audytach bezpieczeństwa IT świadczymy również kompleksową obsługę firm i projektów IT zaczynając od analizy potrzeb, przez dobranie optymalnego rozwiązania, a na obsłudze wdrożeniowej i serwisowej kończąc. Do tego szkolimy ludzi z zakresu cyberbezpieczeństwa. W ocenie naszej i naszych klientów jest to spójna idea, ponieważ skoro wiemy jakie normy trzeba spełnić, aby dana infrastruktura była bezpieczna i to weryfikujemy podczas audytów, to wiemy, jak dbać o bezpieczeństwo IT naszych klientów.
Dane statystyczne, które mówią same za siebie:
| PAWEŁ BURZYŃSKI (prezes zarządu)
ponad 1350! ponad 530! ponad 23 lata! ponad 100! magister zarządzania cyberbezpieczeństwem |
|
IZABELA BURZYŃSKA (członek zarządu)
ponad 165! ponad 90! ponad 6 lat! Doświadczenia w obsłudze firm z zakresu IT; ponad 100! magister zarządzania cyberbezpieczeństwem Autorka: facebook.com/Audytorka |
SZTORM IT
Łódź, ul. Zachodnia 70
Dział Handlowy: biuro@sztorm.eu, tel. 699 715 046
Dział Techniczny: admin@sztorm.eu, tel. 699 715 035
www.sztorm.eu
